Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Sortie de la bêta de Fedora 21

#1 06/01/2011 15:58:27

kloklo
Membre
Inscription : 06/08/2009
Messages : 73

LDAP + Freeradius

Bonjour,

Je cherche a mettre un freeradius basé sur LDAP. J'ai LDAP et freeradius qui son installé mais je ne sais pas faire l'interco.

J'ai trouvé le freeradius.schema a integré au fichier de config LDAP. Es ce qu'il y a des choses a rentrer dans le serveur LDAP comme une arborescence par exemple ou quelque chose comme ca. Ou se fichier suffit il a LDAP?

Pour la conf du radius, il faut modifier le fichier /etc/raddb/module/ldap

juste ces 4 lignes je suppose

server = "ldap.your.domain"
identity = "cn=admin,o=My Org,c=UA"
password = mypass
basedn = "o=My Org,c=UA"

et décommenter les ldap dans les fichiers default et inner-tunnel pour l'authentification, l'accounting et l'authorization


Je pense que ca doit etre un truc comme ca mais je suis pas sur du tout. J'y connais rien pour etre honnete c'est la premiere fois que j'installe un radius alors si quelqu'un pourrais m'aider...

Merci par avance.

<config>Linux Fedora / Firefox 3.6.10</config>

Hors ligne

#2 06/01/2011 16:23:57

madko
Contributeur Fedora et Linuxé depuis 1994
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 4 829
Site Web

Re : LDAP + Freeradius

Le fichier schéma c'est ton squelette qui décrit les données propre à freeradius qui pourront être stockées dans ton arbre LDAP. Genre tel noeud doit avoir obligatoirement tels paramètres, et tels autres en options, etc. Je suppose que ça doit être des info sur tes comptes utilisateurs, donc faudra les renseigner.
Après j'en sais pas plus, peut être que ce schéma complète le schéma classique des comptes utilisateurs (type posix) ou qu'il apporte une arborescence à part. Tu peux lire le fichier schéma, c'est du texte, tu sauras un peu plus ce que ça décrit comme ça.
Bon je sais pas si ça t'aidera tout ça...

Dernière modification par madko (06/01/2011 16:24:15)


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 20 x86_64 sur Asus N550JV.208 et Fedora 20 x86_64 sur Samsung NP740u3e | Mainteneur du paquet Darktable et glances
OVH ADSL pour Internet, c'est plus libre que Free

Hors ligne

#3 06/01/2011 17:19:54

kloklo
Membre
Inscription : 06/08/2009
Messages : 73

Re : LDAP + Freeradius

merci ca m'aide.

J'ai un pb avec LDAP. peut etre tu pourra m'aider la dessus?!

En faite ,j'ai exporter tout les users et les groupes dans LDAP. jusqu'a la pas de pb. J'arrive a me logguer avec les utilisateurs deja creer. Par exemple,

su - user

. J'arrive a me logguer en user mais si je rajoute un utilisateur dans LDAP. si je fait :

su - newuser

il me demande le password. Le password n'est jms reconnu.

Je rajoute deux fichiers :

dn: uid=toto,ou=People,dc=test,dc=lan
uid: toto
cn: Toto Smart
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {SSHA}+CLJBjKxjto7D+EB4I0D321dea9RgU7i
shadowLastChange: 14846
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 502
gidNumber: 502
homeDirectory: /home/toto
gecos: Toto Smart

et

dn: cn=toto,ou=Group,dc=test,dc=lan
objectClass: posixGroup
objectClass: top
cn: toto
userPassword: {SSHA}+CLJBjKxjto7D+EB4I0D321dea9RgU7i
gidNumber: 502

Aurais-tu une idée par hazard??

Hors ligne

#4 06/01/2011 18:41:09

madko
Contributeur Fedora et Linuxé depuis 1994
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 4 829
Site Web

Re : LDAP + Freeradius

La partie LDAP pour les utilisateurs à l'air correct, qu'as tu fais sur ton système pour que celui-ci utilise le LDAP pour l'authentification des utilisateurs?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 20 x86_64 sur Asus N550JV.208 et Fedora 20 x86_64 sur Samsung NP740u3e | Mainteneur du paquet Darktable et glances
OVH ADSL pour Internet, c'est plus libre que Free

Hors ligne

#5 06/01/2011 21:26:06

kloklo
Membre
Inscription : 06/08/2009
Messages : 73

Re : LDAP + Freeradius

j'ai mis :
dans le fichier modules/ldap la basedn, le lien administrateur, le mot de passe admin, et l'host.

dans le fichier sites-enable/default, dans la partie authentification ldap.

Je mettrais les fichiers demain, je les ai pas sous la main.

Il faudra que je test aussi pour les autorisations et l'accounting.

Pour la config des utilisateurs, c'est le password qui peche!! Je sais pas comment bien le configurer ce truc?! car il n'est jms correct qd je le tape et pourtant c'est bien lui généré.

Il faut mettre le meme dans pour le groupe que pr l'utilisateur?! comment on le genere?...

Hors ligne

#6 07/01/2011 08:27:11

madko
Contributeur Fedora et Linuxé depuis 1994
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 4 829
Site Web

Re : LDAP + Freeradius

Pour modules/ldap et sites-enable/default je ne connais pas ces fichiers c'est propre à radius? C'est quoi le chemin complet?

Comment tu teste l'authentification, comment tu es sûr que c'est le mot de passe qui est refusé, et pas déjà l'utilisateur qui n'est pas reconnu?

ps: évite le langage sms si possible, c'est très mal vu sur un forum

Dernière modification par madko (07/01/2011 08:27:36)


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 20 x86_64 sur Asus N550JV.208 et Fedora 20 x86_64 sur Samsung NP740u3e | Mainteneur du paquet Darktable et glances
OVH ADSL pour Internet, c'est plus libre que Free

Hors ligne

#7 07/01/2011 09:10:35

kloklo
Membre
Inscription : 06/08/2009
Messages : 73

Re : LDAP + Freeradius

ces fichiers sont propre a radius effectivement. Ils se trouvent dans /etc/raddb/sites-enable/default et /etc/raddb/modules/ldap.

Pour savoir que c'est le mot de passe qui est refusé, je fais le test avec :
su - toto

Lorsque c'est l'utilisateur qui n'est pas reconnu, j'ai une réponse dans le style user non reconnu. Mais la j'ai une demande de password qui apparait. Une fois que je rentre le passeword definit, je me fait jetter.
Ce qui me fait dire que le mot de passe n'est pas bon.

Hors ligne

#8 07/01/2011 10:03:24

madko
Contributeur Fedora et Linuxé depuis 1994
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 4 829
Site Web

Re : LDAP + Freeradius

et l'utilisateur que tu test il est présent dans le fichier /etc/passwd?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 20 x86_64 sur Asus N550JV.208 et Fedora 20 x86_64 sur Samsung NP740u3e | Mainteneur du paquet Darktable et glances
OVH ADSL pour Internet, c'est plus libre que Free

Hors ligne

#9 07/01/2011 11:25:47

kloklo
Membre
Inscription : 06/08/2009
Messages : 73

Re : LDAP + Freeradius

non il n'est pas présent dedans. Du reste, il n'est pas définit sur le système. Il est définit uniquement dans LDAP. Lors de l'authentification, si l'utilisateur n'est pas présent sur le systeme, su va checker LDAP , ca devrait etre la meme chose pour le mot de passe logiquement.
Puis j'ai tester aussi avec radius qui n'est lié qu'a LDAP, et j'ai le meme probleme.

Hors ligne

#10 10/01/2011 16:36:21

kloklo
Membre
Inscription : 06/08/2009
Messages : 73

Re : LDAP + Freeradius

J'ai une autre petite question.

J'ai générer des certificats a distribué a mes postes clients.

Ma question est : Normalement la topologie radius est Serveur - Nas ou acces point - Client
Est - il possible d'avoir un NAS en local sur le serveur? CAD que mon client viendrait directement se plugger sur mon serveur qui ferait NAS + radius?

si oui comment ? car la je vois pas trop en faite mais je sens que c'est possible

Hors ligne

#11 26/11/2011 00:33:20

jeandez
Membre
Inscription : 08/02/2011
Messages : 4

Re : LDAP + Freeradius

Bonjour ,
je dois aussi mettre en place un serveur radius basé sur ldap. J'espère pouvoir un trouver un tuto avec toi ou si possible un  rapport concernant le travail que tu as effectué .
Merci

Hors ligne

#12 29/12/2011 20:45:12

jeandez
Membre
Inscription : 08/02/2011
Messages : 4

Re : LDAP + Freeradius

bonjour,
je configure freeradius-server-2.1.12 sous fedora 15. pour effectuer le teste en local je fait : chemin_vers_freeradius/freeradius-server-2.1.12/bin/radtest dez  password  localhost 1812 testing123
tout marche bien. Mais j'aimerais savoir le rôle de "testing123". j'ai pu remarqué que c'est le secret partagé entre la machine local et radius.Est ce que pour chaque utilisateur (pouvant se situer sur plusieurs machines differentes) ,il doit avoir un secret partagé entre la machine client et serveur radius (qui est distant) .
merci

Hors ligne

Pied de page des forums